Recentemente, a MetaMask disse que descobriu uma vulnerabilidade crítica de segurança em versões mais antigas de sua carteira de criptomoedas com a ajuda de pesquisadores de segurança da Halborn. A empresa de segurança recebeu uma recompensa de US$50.000 pela descoberta.
Para usuários da extensão MetaMask antes da versão 10.11.3, três condições necessárias teriam levado à potencial vulnerabilidade:
1) um disco rígido não criptografado;
2) ter importado uma frase de recuperação secreta para uma extensão MetaMask em um dispositivo que foi comprometido, roubado ou com acesso não autorizado;
3) ter usado a caixa de seleção “Mostrar Frase de Recuperação Secreta” para visualizar a frase de recuperação secreta na tela durante o processo de importação.
“Só descobrimos que a Frase de Recuperação Secreta pode ser extraída em circunstâncias muito específicas, e conseguimos introduzir novas proteções durante o período que Halborn esperou para divulgar.”
Aparentemente, a exploração afeta todas as versões do navegador das versões da carteira MetaMask anteriores à atualização 10.11.3 e todos os sistemas operacionais se todas as três circunstâncias forem atendidas, mas não as versões móveis.
A empresa está alertando os usuários afetados para migrar seus fundos de suas carteiras comprometidas. No entanto, lembre-se de que todas as três condições precisam ser atendidas para que a vulnerabilidade esteja ativa em versões mais antigas.
